Уявіть: ви поспішаєте на роботу, ділову зустріч або побачення. Звично запускаєте своє улюблене додаток для виклику таксі, але воно просить вас ввести номер банківської карти. Підозріло? Так начебто не дуже - напевно, аккаунт якимось чином «відв'язався» і просто треба заново ввести дані.
Однак через якийсь час з рахунку вашої картки починають пропадати гроші. Що ж трапилося? А сталося те, що вам не пощастило підчепити мобільний троянець Faketoken, який з недавніх пір почав красти дані карт, підробляючи інтерфейс додатків для виклику таксі .
Взагалі, даний троянець існує вже давно. Довгі роки він нарощував свою функціональність і до поточної версії - наші експерти називають її Faketoken.q, - навчився масі різноманітних фокусів і трюків.
Потрапивши на смартфон (судячи по іконці зловреда, Faketoken проникає на смартфони жертв за допомогою SMS-розсилки з закликом завантажити фотографію) і встановивши додаткові модулі, троян ховає свій ярличок і починає в фоновому режимі стежити за тим, що відбувається в системі.
Іконка встановленого трояна Faketoken
В першу чергу його цікавлять дзвінки користувача - помітивши початок дзвінка, троян починає його записувати, а після завершення відсилає запис на сервер зловмисників. Крім того, троян цікавиться тим, якими додатками користується власник смартфона.
Як тільки Faketoken виявляє запуск програми, інтерфейс якої він вміє підробляти, троянець миттєво перекриває його власним вікном. Для цього використовується штатна функція операційної системи що дозволяє вивести вікно поверх всіх інших , Цією функцією користується купа легітимних додатків, наприклад, месенджери, менеджери вікон і так далі.
Перекривши інтерфейс цього додатка, троян просить користувача ввести номер карти, включаючи секретний код на зворотному боці - при цьому вікно введення за колірною гамою дуже схоже на справжнє.
Троян Faketoken.q імітує інтерфейс популярних додатків для виклику таксі
Faketoken.q полює на цілу масу різних додатків. Спільне в них одне - у всіх цих сервісах прохання ввести номер карти виглядає абсолютно нормально і не викликає особливих підозр. Серед атакованих додатків є кілька мобільних банків, Android Pay, Google Play Store, додатки для покупки авіаквитків, бронювання номерів у готелях і оплати автомобільних штрафів - а також додатки для виклику таксі.
На етапі безпосередньо крадіжки грошей з банківської картки користувача Fakotoken використовує інший трюк : Він перехоплює всі вхідні SMS, приховує їх від користувача і перенаправляє на сервер зловмисників, які крадуть з них одноразові паролі для підтвердження платежів.
Як банківські троянці обходять двухфакторную аутентифікацію
Судячи з невеликої кількості зареєстрованих нами атак і помилок у відображенні інтерфейсу, які ви можете бачити на одному зі скріншотів вище, потрапила на дослідження в нашу антивірусну лабораторію версія трояна ще не остаточна, а тестова.
Однак у працелюбності творцям Faketoken не відмовиш, так що вони напевно доведуть її «до кондиції» і через деякий час може початися хвиля заражень вже «комерційної» версією. І якщо банками на смартфонах користуються не всі, то додатки таксі встановлені вже, напевно, у більшій частині міських жителів - що значно підвищує ймовірність успішної крадіжки грошей у жертв.
Як захиститися від Faketoken і подібних йому мобільних троянів, що крадуть номери карт і перехоплюючих SMS з одноразовими паролями для підтвердження платежів:
- Обов'язково забороніть в настройках Android установку додатків з невідомих джерел. Це робиться в меню Налаштування -> Безпека -> Невідомі джерела.
Підозріло?Що ж трапилося?
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.